资讯

精准传达 • 有效沟通

从品牌网站建设到网络营销策划,从策略到执行的一站式服务

web安全之XSS

一、浏览器安全

创新互联公司成立于2013年,我们提供高端重庆网站建设网站制作网站设计、网站定制、成都全网营销推广小程序开发、微信公众号开发、seo优化排名服务,提供专业营销思路、内容策划、视觉设计、程序开发来完成项目落地,为火锅店设计企业提供源源不断的流量和订单咨询。

1、同源策略(SOP)

     在浏览器中,;

    再查看源码:

 

2.1.2、存储型XSS

   ***会把用户的数据存储在服务器端。

   比较常见的场景是:***写了一篇包含有恶意JavaScript代码的博客文章,只要用户访问改文章,就会在他们的浏览器中执行这段恶意代码,***会把恶意代码保存到服务器端。所以这种方式也叫持久型XSS(Persistent XSS)。

2.1.3、DOM Based XSS

   通过修改页面的DOM节点形成XSS,称之为DOM Based XSS

   代码如例:



    id = "t"

 type="text" id="text" value="" />
 type="button" id="s" value="write"   />

     正常构造数据,www.a.com。

     点击write按钮:页面显示www.a.com链接

 

     非正常构造如下数据: 

' onclick=alert(/xss/) //

     点击write按钮,页面显示testlink,点击testlink,弹出/xss/警告框

     这里首先一个单引号闭合掉href第一个单引号,然后插入一个onclick事件,最后再用注释符注释掉第一个单引号。

     这段代码也可以通过闭合掉的方式***:

'><'

     此时页面代码变成了:

   <' '>testlink 

2.2 XSS防御

2.2.1 HttpOnly

     设置cookie httponly标记,可以禁止JavaScript访问带有该属性的cookie,目前主流的浏览器已经支持HttpOnly

2.2.2输入检查

2.2.3输出检查

     安全的编码函数:在数据添加到DOM时候,我们可以需要对内容进行HtmlEncode或JavaScriptEncode,以预防XSS***。 JavaScriptEncode使用“\”对特殊字符进行转义,除数字字母之外,小于127的字符编码使用16进制“\xHH”的方式进行编码,大于用unicode(非常严格模式)。除了HTMLEncode、JavaScriptEncode外还有XMLEncode、JSONEncode等编码函数,在php中有htmlentities()和htmlspcialchars()两个函数可以满足要求。

      XSS***主要发生在MVC架构的view层,大部分的XSS漏洞可以在模板系统中解决。

     在python的开发框架Django自带的模板系统中,可以使用escape进行htmlencode,比如:

{{ var | escape }}

     这样写的变量,会被HtmlEncode

2.2.4正确防御XSS

场景一:在HTML标签中输出

$var

$var

     所有在标签中输出的变量,如果未做任何处理,都会导致直接产生XSS

     在这种场景下,XSS的利用方式一般构造一个

     或者

 

防御的方式是对变量使用HtmlEncode

场景二:在HTML属性中输出

 与在HTML标签中输出类似,可能的***方式

<"" >

防御的方法也是HtmlEncode。

在OWASP ESAPI中推荐课一个更严格的HTMLEncode--除了字幕、数字外,其他所有字符都被编码成HTMLEntities。

String safe=ESAPI.encoder().encodeForHTMLAttribute(request.getParameter("input"));

场景三:在

 ***者需要闭合引号才能实施***

 防御时使用JavascriptEncode。

场景四:在事件中输出

在事件中输出和在

     这段代码最终输出弹框1,被XSS***。原因在于,第一次执行JavaScriptEscape后只保护了:  

   var x = "$var"

      但是当document.write输出数据到Html页面时,浏览器重新渲染了页面。在